一個雲本地文件包含漏洞，影響世界一流公司

02-05

先通過一張截圖看一下影響範圍吧 ??

本地文件包含是在Oracle Responsys的雲服務中存在的。什麼是Responsys？它是企業級基於雲的B2C系統。每個企業都會有他們獨有的IP，以便他們登錄到Responsys系統中，並且企業也不能和其他公司共享IP。

我是怎麼發現這個漏洞的？

和往常一樣我在挖洞，這時查看我郵箱發現"http://em.facebookmail.com"發送過來一封郵件。舉個例子，在我的郵箱中，我收到的郵件是從fbdev@em.facebookmail.com發來的。

這就讓我對域名http://em.facebookmail.com非常感興趣，在快速收集信息之後，我發現這個域名正在使用"Responsys"服務，這在其他滲透測試中是很少見的。

Responsys為http://emfacebookmail.com提供了發送郵件的服務。我在我的郵件里找到的最初的域名如下:

http://em.facebookmail.com/pub/cc?_ri_=X0Gzc2X%3DWQpglLjHJlYQGkSIGbc52zaRY0i6zgzdzc6jpzcASTGzdzeRfAzbzgJyH0zfzbLVXtpKX%3DSRTRYRSY&_ei_=EolaGGF4SNMvxFF7KucKuWNhjeSKbKRsHLVV55xSq7EoplYQTaISpeSzfMJxPAX8oMMhFTpOYUvvmgn-WhyT6yBDeImov65NsCKxmYwyOL0n

參數」ri=」生成一個請求，在經過一系列測試之後，我發現系統並沒有處理好url雙重編碼，於是我可以讓參數等於」%252fetc%252fpasswd」,進而讀取到passwd文件。

很明顯，系統沒有正確處理能夠跨目錄讀取的字元，導致能夠讀取整個伺服器上的信息，影響網站安全。

漏洞PoC

http://em.facebookmail.com/pub/sf/%252fetc%252fpasswd?_ri_=X0Gzc2X%3DYQpglLjHJlYQGrzdLoyD13pHoGgHNjCWGRBIk4d6Uw74cgmmfaDIiK4za7bf4aUdgSVXMtX%3DYQpglLjHJlYQGnnlO8Rp71zfzabzewzgLczg7Ulwbazahw8uszbNYzeazdMjhDzcmJizdNFCXgn&_ei_=Ep0e16vSBKEscHnsTNRZT2jxEz5WyG1Wpm_OvAU-aJZRZ_wzYDw97ETX_iSmseEn

漏洞影響範圍

之後我發現這個本地文件包含漏洞不單單影響facebook，並且還有很多其他公司。他們都使用了Responsys提供的不同的私有IP。

通過google快速搜索了一下漏洞主機：

將_ri_賦值為上述的PoC，然後在目標公司的URL進行測試，哇，確實成功了。

這個漏洞會通過信息泄漏，導致整個伺服器處於高危狀態。最糟糕的是，該漏洞會對多家知名公司造成很大影響。我將這個漏洞報告給了Oracle，一周之內，漏洞得以修復。

本文翻譯自：http://panchocosil.blogspot.cl/2017/05/one-cloud-based-local-file-inclusion.html，如若轉載，請註明來源於嘶吼：thttp://www.4hou.com/info/news/4848.html 更多內容請關注「嘶吼專業版」——Pro4hou